Software Cisco IOS y NX-OS : Software Cisco IOS versión 12.3 T

IPSec Virtual Tunnel Interface

14 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Inglés (19 Junio 2006) | Comentarios

Contenidos

Interfaz virtual del túnel IPsec

Contenidos

Restricciones para la interfaz virtual del túnel IPSec

Información acerca de las interfaces virtuales del túnel IPSec

Ventajas del uso de las interfaces virtuales del túnel IPSec

Enrutamiento con interfaces virtuales del túnel IPSec

Interfaces virtuales estáticas del túnel

Interfaces virtuales dinámicas del túnel

Vida útil de la interfaz virtual dinámica del túnel

Cifrado de tráfico con la interfaz virtual del túnel IPsec

Compatibilidad para atributos por usuario para servidores Easy VPN

Cómo configurar las interfaces virtuales del túnel IPSec

Configuración de las interfaces virtuales estáticas del túnel IPSec

Configuración de las interfaces virtuales dinámicas del túnel IPSec

Configuración de los atributos por usuario en un servidor AAA Easy VPN local

Ejemplos de configuración para interfaces virtuales dinámicas del túnel IPSec

Interfaz virtual estática del túnel con IPsec: Ejemplo

Interfaz virtual estática del túnel compatible con VRF: Ejemplo

Interfaz virtual estática del túnel con QoS: Ejemplo

Interfaz virtual estática del túnel con firewall virtual: Ejemplo

Servidor Easy VPN de interfaz dinámica de túnel virtual: Ejemplo

Cliente Easy VPN de interfaz virtual dinámica del túnel: Ejemplo

IPsec compatible con VRF con VTI dinámica: Ejemplo

Interfaz virtual dinámica del túnel con firewall virtual: Ejemplo

Interfaz virtual dinámica del túnel con QoS: Ejemplo

Atributos por usuario en un servidor Easy VPN: Ejemplo

Referencias adicionales

Documentación relacionada

Normas

MIB

RFC

Asistencia técnica

Referencia de comandos

crypto aaa attribute list

grypto isakmp client configuration group

crypto isakmp profile

interface virtual-plantilla

show vtemplate

tunnel mode

virtual-template

Información de funciones para interfaces virtuales del túnel IPSec


Interfaz virtual del túnel IPsec


Primera publicación: 18 de octubre de 2004
Última actualización: 1 de agosto de 2006

Las interfaces virtuales del túnel (VTI) de seguridad IP (IPsec) ofrecen un tipo de interfaz enrutable para la finalización de túneles IPsec y un modo sencillo de definir la protección entre sitios para conformar una red superpuesta. Las VTI IPsec simplifican la configuración de la IPsec para la protección de enlaces remotos, son compatibles con la multidifusión y simplifican la administración y el balance de la carga de la red.

Búsqueda de información sobre las funciones en este módulo

Es posible que su versión de Software Cisco IOS no sea compatible con todas las funciones incluidas en este documento. Para encontrar enlaces a documentación específica de las funciones en este módulo y para visualizar una lista de versiones compatibles con cada función, utilice la sección “Información de funciones para interfaces virtuales del túnel IPSec".

Búsqueda de información de compatibilidad para plataformas e imágenes de Software Cisco IOS

Utilice el Cisco Feature Navigator para buscar información sobre compatibilidad con plataformas y con imágenes de Software Cisco IOS. Acceda al Cisco Feature Navigator en http://www.cisco.com/go/fn. Usted debe tener una cuenta en Cisco.com. Si no tiene una cuenta o si olvidó su nombre de usuario o contraseña, haga clic en Cancelar en el cuadro de diálogo de inicio de sesión y siga las instrucciones que aparecerán.

Contenidos

Restricciones para la interfaz virtual del túnel IPSec

Información acerca de las interfaces virtuales del túnel IPSec

Cómo configurar las interfaces virtuales del túnel IPSec

Ejemplos de configuración para interfaces virtuales dinámicas del túnel IPSec

Referencias adicionales

Referencia de comandos

Información de funciones para interfaces virtuales del túnel IPSec

Restricciones para la interfaz virtual del túnel IPSec

Conjunto de transformaciones IPsec

El conjunto de transformaciones IPsec debe estar configurado en modo de túnel únicamente.

Asociación de seguridad IKE

La asociación de seguridad (SA) del intercambio de claves de Internet (IKE) está conectada a la VTI. Dado que la SA IKE está conectada a la VTI, la misma SA IKE no puede utilizarse para un crypto map.

Proxy

Las VTI estáticas son compatibles únicamente con proxies IP ANY ANY.

La VTI es compatible únicamente con un proxy.

Por otra parte, las VTI dinámicas, son compatibles con más de un proxy.

Modelado del tráfico QoS

El tráfico modelado se conmuta por proceso.

Migración tras error con estado

La migración tras error con estado IPsec no es compatible con las VTI IPsec.

Protección del túnel

La palabra clave shared no es necesaria y no debe configurarse cuando se utiliza el comando tunnel mode ipsec ipv4 para el modo IPv4 de IPsec.

VTI estáticas versus túneles GRE

La VTI IPsec está limitada únicamente a la unidifusión IP uy7 al tráfico IP multidifusión, a diferencia de los túneles GRE que tienen una aplicación más amplia para la implementación de IPsec.

Configuración de la IPsec compatible con VRF

En las configuraciones de IPsec compatible con VRF con VTI estáticas o dinámicas (DVTI), el VRF no debe configurarse en el perfil del protocolo de Asociación de seguridad en Internet y administración de claves (ISAKMP). Por el contrario, el VRF debe configurarse en la interfaz del túnel para las VTI estáticas. Para las DVTI, debe aplicar el VRF al vtemplate a través del comando ip vrf forwarding.

Información acerca de las interfaces virtuales del túnel IPSec

El uso de VTI IPsec simplifica el proceso de configuración cuando necesita contar con protección para el acceso remoto y proporciona una alternativa más sencilla al uso de la encapsulación de enrutamiento genérico (GRE) o de túneles del protocolo de tunelización de capa 2 (L2TP) para la encapsulación y crypto maps con IPsec. Un beneficio importante asociado con las VTI IPsec es que la configuración no requiere de una asignación estática de sesiones IPsec a una interfaz física. El punto final (endpoint) de un túnel IPsec se asocia con una interfaz real (virtual). Dado que existe una interfaz enrutable en el punto final (endpoint) del túnel, es posible aplicar muchas capacidades de las interfaces comunes al túnel IPsec.

La VTI IPsec permite la flexibilidad de enviar y recibir tráfico cifrado IP unidifusión y multidifusión a través de cualquier interfaz física, como en el caso de múltiples rutas. El tráfico se cifre y descifra cuando se reenvía desde o hacia la interfaz del túnel y se administra por medio de la tabla de enrutamiento IP. El enrutamiento IP dinámico o estático puede utilizarse para enrutar el tráfico hacia la interfaz virtual. Utilizar el enrutamiento IP para reenviar el tráfico a la interfaz del túnel simplifica la configuración de la VPN IPsec en comparación con el proceso más complejo de utilizar listas de control de acceso (ACL) con el crypto map en configuraciones IPsec nativas. Las DVTI funcionan como cualquier otra interfaz real de modo que puede aplicar la Calidad de Servicio (QoS), el firewall y otros servicios de seguridad en cuanto se activa el túnel.

Sin el módulo de aceleración2+ (VAM2+) de la red privada virtual (VPN) acelerando las interfaces virtuales, el paquete que atraviesa una interfaz virtual se envía al procesador del router (RP) para su encapsulación. Este método tiende a ser lento y cuenta con una escalabilidad limitada. En el modo de crypto map de hardware, todas las VTI IPsec están aceleradas por el motor de crypto map VAM2+ y todo el tráfico que atraviesa el túnel se cifra y descifra por medio del VAM2+.

Las siguientes secciones brindan detalles acerca de la VTI IPsec:

Ventajas del uso de las interfaces virtuales del túnel IPSec

Enrutamiento con interfaces virtuales del túnel IPSec

Interfaces virtuales estáticas del túnel

Interfaces virtuales dinámicas del túnel

Vida útil de la interfaz virtual dinámica del túnel

Cifrado de tráfico con la interfaz virtual del túnel IPsec

Compatibilidad para atributos por usuario para servidores Easy VPN

Ventajas del uso de las interfaces virtuales del túnel IPSec

Las VTI IPsec le permiten configurar una interfaz virtual a las que puede aplicar las funciones. Las funciones para los paquetes de texto sin cifrar se configuran en la VTI. Las funciones para los paquetes cifrados se aplican a la interfaz física externa. Cuando se utilizan VTI IPsec, puede separar la aplicación de funciones como NAT, ACL y QoS y aplicarlas al texto sin cifrar, al texto cifrado o a ambos. Cuando se utilizan crypto maps, no existe una manera sencilla de aplicar las funciones de cifrado al túnel IPsec.

Enrutamiento con interfaces virtuales del túnel IPSec

Dado que las VIT son interfaces enrutables, el enrutamiento desempeña un papel importante en el proceso de cifrado. El tráfico se cifra únicamente si se reenvía desde la VTI y el tráfico que llega a la VTI se descifra y enruta en consecuencia. Las VTI permiten establecer un túnel de cifrado utilizando un interfaz real como punto final (endpoint) del túnel. Puede enturar la interfaz o aplicar servicios como QoS, firewalls, traducción de dirección de red y estadísticas de Netflow como lo haría con cualquier otra interfaz. Puede supervisar la interfaz, realizar el enrutamiento hacia la misma y tiene una ventaja con respecto a las crypto maps porque es una interfaz en tiempo real y ofrece las ventajas de cualquier otra interfaz regular de Cisco IOS. Además, la VTI cifra el tráfico que se envía hacia la misma.

Puede activar los protocolos de enrutamiento en la interfaz el túnel de modo que la información de enrutamiento puede propagarse por el túnel virtual. El router puede establecer relaciones de vecinos a través de la VTI. Los paquetes de multidifusión pueden cifrarse y la interoperabilidad con instalaciones IPsec basadas en las normas es posible porque la VTI IPSec estática negocia y acepta los proxies permit IP ANY ANY.

Existen dos tipos de interfaces VTI: la VTI estática (SVTI) y la VTI dinámica (DVTI).

Interfaces virtuales estáticas del túnel

Las configuraciones de SVTI pueden utilizarse para la conectividad sitio a sitio en la que el túnel ofrece acceso siempre activo entre dos sitios. La ventaja del uso de SVTI en lugar de configuraciones de crypto maps es que los usuarios pueden activar protocolos de enrutamiento dinámico en la interfaz del túnel sin los 4 bytes extra necesarios para los encabezados GRE, reduciendo así el ancho de banda para el envío de datos cifrados.

Además, es posible configurar múltiples funciones de Software Cisco IOS directamente en la interfaz del túnel y en la interfaz física de salida de la interfaz del túnel. Esta configuración directa permite que los usuarios cuenten con un control sólido de la aplicación de las funciones en la ruta pre y post cifrado.

La figura 1 ilustra cómo se utiliza una VTI estática.

Figura 1 VTI IPsec estática

La VTI IPsec es compatible con la IP Tunnelingsec nativa y refleja la mayoría de las propiedades de una interfaz física.

Interfaces virtuales dinámicas del túnel

Las DVTI pueden proveer una conectividad altamente segura y escalable para las VPN de acceso remoto. La tecnología DVTI reemplaza a las crypto maps dinámicas y al método radial para el establecimiento de túneles.

Las VTI dinámicas pueden utilizarse para el servidor y la configuración remota. Los túneles ofrecen una interfaz

individual de acceso virtual a pedido para cada sesión VPN. La configuración de las interfaces de acceso virtual está clonada de una configuración de plantilla virtual, que incluye la configuración IPSec y cualquier función del software de Cisco IOS configurada en la interfaz de la plantilla virtual como QoS, NetFlow o ACL.

Las DVTI funcionan como cualquier otra interfaz real de modo que puede aplicar la QoS, el firewall y otros servicios de seguridad en cuanto se activa el túnel. Las funciones QoS pueden utilizarse para mejorar el desempeño de diversas aplicaciones en toda la red. Todas las combinaciones las funciones de QoS que se ofrecen en el software de Cisco IOS pueden utilizarse para la compatibilidad de aplicaciones de voz, video o datos.

Las VTI dinámicas ofrecen eficiencia en el uso de las direcciones IP y brindan una conectividad segura. Las VTI dinámicas permiten configurar políticas descargables dinámicamente por grupo y por usuario en un servidor RADIUS. La definición por grupo o por usuario puede crearse utilizando la autenticación ampliada (Xauth) del grupo User o Unity o puede derivarse de un certificado. Las VTI dinámicas están basadas en las normas, por lo tanto son compatibles con la interoperabilidad en un entorno de proveedores múltiples. Las VTI IPsec dinámicas le permiten crear una conectividad altamente segura para las VPN de acceso remoto y pueden combinarse con una arquitectura Cisco para voz, video y datos integrados (AVVID) para proporcionar voz, video y datos con convergencia a través de redes IP. La VTI dinámica simplifica la Implementación de la IPSec compatible con el enrutamiento y reenvío de la Red privada virtual (VRF). El VRF se configura en la interfaz.

Una VTI dinámica requiere de una mínima configuración del router. Es posible configurar y clonar una única plantilla virtual.

La VTI dinámica crea un interfaz para sesiones IPsec y utiliza la infraestructura de plantillas virtuales para la instanciación y administración dinámicas de VTI IPsec dinámicas. La infraestructura de plantillas virtuales se extiende para crear un interfaces virtuales dinámicas del túnel. Las VTI dinámicas se utilizan en configuraciones radiales. Una única VTI dinámica es compatible con varias VTI estáticas. Las decisiones se toman a través de las actualizaciones de enrutamiento. La figura 2 ilustra la ruta de autenticación de la VTI dinámica.

Figura 2 VTI IPsec dinámica

La autenticación que ilustra la Figura 2 utiliza la siguiente ruta:

1. El usuario 1 llama al router.

2. El router 1 autentica al usuario 1.

3. La IPsec clona la interfaz de acceso virtual desde la interfaz de plantilla virtual.

Vida útil de la interfaz virtual dinámica del túnel

Los perfiles IPsec definen la política para las VTI dinámicas. La interfaz dinámica se crea al final de la fase 1 de IKE y de la fase 1.5 de IKE. La interfaz se elimina cuando la se cierra la sesión IPsec al par. La sesión IPsec se cierra cuando se eliminan las SA IKE e IPsec al par.

Cifrado de tráfico con la interfaz virtual del túnel IPsec

Cuando se configura una VTI IPsec, se realiza el cifrado en el túnel. El tráfico se cifra cuando se reenvía a la interfaz del túnel. El reenvío del tráfico está manejado por la tabla de enrutamiento IP y el enrutamiento IP dinámico o estático puede utilizarse para enrutar el tráfico hacia la VTI. Utilizar el enrutamiento IP para reenviar tráfico hacia el cifrado simplifica la configuración de VPN IPsec porque el uso de ACL con crypto maps en configuraciones IPsec nativas no es necesario. El túnel virtual IPsec también le permite cifrar tráfico multidifusión con IPsec.

El flujo de paquetes IPsec hacia el túnel IPsec se ilustra en la Figura 3.

Figura 3 Flujo de paquetes hacia el túnel IPsec

Una vez que los paquetes llegan a la interfaz interna, el motor de reenvío conmuta los paquetes hacia la VTI, donde son cifrados. Los paquetes cifrados se envían nuevamente hacia el motor de reenvío, donde se los conmuta a través de la interfaz externa.

La figure 4 ilustra el flujo de paquetes desde el túnel IPsec.

Figure 4 Flujo de paquetes desde el túnel IPsec.

Compatibilidad para atributos por usuario para servidores Easy VPN

La función compatibilidad para atributos por usuario para servidores Easy VPN permite que los usuarios cuenten con compatibilidad para atributos por usuario en servidores Easy VPN. Estos atributos se aplican sobre la interfaz de acceso virtual.

Servidor AAA Easy VPN local

Para un servidor AAA Easy VPN local, los atributos por usuario pueden aplicarse a nivel del grupo o del usuario por medio de la interfaz de línea de comandos (CLI).

Para configurar los atributos por usuario para un servidor Easy VPN local, consulte "Configuración de los atributos por usuario en un servidor AAA Easy VPN local."

Servidor AAA Easy VPN remoto

Es posible definir pares de valores de atributos (AV) en un servidor AAA Easy VPN AAA remoto como se ilustra en el siguiente ejemplo:

cisco-avpair = "ip:outacl#101=permit tcp any any established

Atributos por usuario

Los siguientes atributos por usuario se encuentran definidos en el servidor AAA y pueden aplicarse a la IPsec:

inacl

interface-config

outacl

route

rte-fltr-in

rte-fltr-out

sub-policy-In

sub-policy-Out

policy-route

prefix

Cómo configurar las interfaces virtuales del túnel IPSec

Configuración de las interfaces virtuales estáticas del túnel IPSec

Configuración de las interfaces virtuales dinámicas del túnel IPSec

Configuración de los atributos por usuario en un servidor AAA Easy VPN local

Configuración de las interfaces virtuales estáticas del túnel IPSec

Esta configuración ilustra el proceso de configuración de una VTI IPsec estática.

PASOS RESUMIDOS

1. enable

2. configure terminal

3. crypto IPsec profile nombre del perfil

4. set transform-set nombre del conjunto de transformaciones

5. interface número de tipo

6. ip address máscara de dirección

7. tunnel mode ipsec ipv4

8. tunnel source interfaz

9. tunnel destination dirección ip

10. tunnel protection IPsec profile nombre del perfil [shared]

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Ejemplo:

Router> enable

Habilita el modo EXEC privilegiado.

Introduzca la contraseña si se solicita.

Paso 2 

configure terminal

Ejemplo:

Router# configure terminal

Ingresa el modo de configuración global.

Paso 3 

crypto IPsec profile nombre del perfil

Ejemplo:

Router(config)# crypto IPsec profile PROF

Define los parámetros IPsec que se utilizarán para el cifrado IPsec entre dos routers IPsec.

Paso 4 

set transform-set nombre del conjunto de transformaciones [nombre del conjunto de transformaciones2...nombre del conjunto de transformaciones6]

Ejemplo:

Router(config)# set transform-set tset

Especifica qué conjuntos de transformaciones podrá utilizarse con la entrada del crypto map.

Paso 5 

interface número de tipo

Ejemplo:

Router(config)# interface tunnel0

Especifica la interfaz en la que se configurará el túnel y accede al modo de configuración de la interfaz.

Paso 6 

ip address máscara de dirección

Ejemplo:

Router(config-if)# ip address 10.1.1.1 255.255.255.0

Especifica la dirección IP y la máscara.

Paso 7 

tunnel mode ipsec ipv4

Ejemplo:

Router(config-if)# tunnel mode ipsec ipv4

Define el modo para el túnel.

Paso 8 

tunnel source interfaz

Ejemplo:

Router(config-if)# tunnel source loopback0

Especifica el origen del túnel como interfaz de bucle de retorno.

Paso 9 

tunnel destination dirección ip

Ejemplo:

Router(config-if)# tunnel destination 172.16.1.1

Identifica la dirección IP del destino del túnel.

Paso 10 

tunnel protection IPsec profile nombre del perfil [shared]

Ejemplo:

Router(config-if)# tunnel protection IPsec profile PROF

Asocia una interfaz de túnel con un perfil IPsec.

Configuración de las interfaces virtuales dinámicas del túnel IPSec

Esta tarea ilustra el proceso de configuración de una VTI IPsec dinámica.

PASOS RESUMIDOS

1. enable

2. configure terminal

3. crypto IPsec profile nombre del perfil

4. set transform-set nombre del conjunto de transformaciones

5. interface virtual-template número

6. tunnel mode modo

7. tunnel protection IPsec profile nombre del perfil [shared]

8. exit

9. crypto isakamp profile nombre del perfil

10. virtual-template número de plantilla

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Ejemplo:

Router> enable

Habilita el modo EXEC privilegiado.

Introduzca la contraseña si se solicita.

Paso 2 

configure terminal

Ejemplo:

Router# configure terminal

Ingresa el modo de configuración global.

Paso 3 

crypto IPsec profile nombre del perfil

Ejemplo:

Router(config)# crypto IPsec profile PROF

Define los parámetros IPsec que se utilizarán para el cifrado IPsec entre dos routers IPsec.

Paso 4 

set transform-set nombre del conjunto de transformaciones [nombre del conjunto de transformaciones2...nombre del conjunto de transformaciones6]

Ejemplo:

Router(config)# set transform-set tset

Especifica qué conjuntos de transformaciones podrá utilizarse con la entrada del crypto map.

Paso 5 

interface virtual-template número

Ejemplo:

Router(config)# interface virtual-template 2

Define una interfaz de número de plantilla del túnel y accede al modo de configuración de la interfaz.

Paso 6 

tunnel mode ipsec ipv4

Ejemplo:

Router(config-if)# tunnel mode ipsec ipv4

Define el modo para el túnel.

Paso 7 

tunnel protection IPsec profile nombre del perfil [shared]

Ejemplo:

Router(config-if)# tunnel protection IPsec profile PROF

Asocia una interfaz de túnel con un perfil IPsec.

Paso 8 

exit

Ejemplo:

Router(config-if)# exit

Sal del modo de configuración de la interfaz.

Paso 9 

crypto isakamp profile nombre del perfil

Ejemplo:

Router(config)# crypto isakamp profile red

Define el perfil ISAKAMP que se utilizará para la plantilla virtual.

Paso 10 

virtual-template número de plantilla

Ejemplo:

Router(config)# virtual-template 1

Especifica la plantilla virtual relacionada con el perfil ISAKAMP.

Configuración de los atributos por usuario en un servidor AAA Easy VPN local

Para configurar atributos por usuario en un servidor AAA Easy VPN, lleve a cabo los siguientes pasos.

PASOS RESUMIDOS

1. enable

2. configure terminal

3. aaa attribute list nombre de la lista

4. attribute type valor de nombre [service servicio] [protocol protocolo]

5. exit

6. crypto isakmp client configuration group nombre del grupo

7. crypto aaa attribute list nombre de la lista

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Ejemplo:

Router> enable

Habilita el modo EXEC privilegiado.

Introduzca la contraseña si se solicita.

Paso 2 

configure terminal

Ejemplo:

Router# configure terminal

Ingresa el modo de configuración global.

Paso 3 

aaa attribute list nombre de la lista

Ejemplo:

Router(config)# aaa attribute list list1

Define una lista de atributos AAA a nivel local en un router y accede al modo de configuración de la lista de atributos.

Paso 4 

attribute type valor de nombre [service servicio] [protocol protocolo]

Ejemplo:

Router(config-attr-list)# attribute type attribute xxxx service ike protocol ip

Define un tipo de atributo que se agregará localmente a una lista de atributos en un router.

Paso 5 

exit

Ejemplo:

Router(config-attr-list)# exit

Sale del modo de configuración de la lista de atributos.

Paso 6 

grypto isakmp client configuration group nombre del grupo

Ejemplo:

Router (config)# crypto isakmp client configuration group group1

Especifica para qué grupo se definirá un perfil de política y accede al modo de configuración del grupo ISAKMP.

Paso 7 

crypto aaa attribute list nombre de la lista

Ejemplo:

Router (config-isakmp-group)# crypto aaa attribute list listname1

Define una lista de atributos AAA a nivel local para un router.

Ejemplos de configuración para interfaces virtuales dinámicas del túnel IPSec

Los siguientes ejemplos se brindan a fin de ilustrar los escenarios de configuración para VTI IPsec:

Interfaz virtual estática del túnel con IPsec: Ejemplo

Interfaz virtual estática del túnel compatible con VRF: Ejemplo

Interfaz virtual estática del túnel con QoS: Ejemplo

Interfaz virtual estática del túnel con firewall virtual: Ejemplo

Servidor Easy VPN de interfaz dinámica de túnel virtual: Ejemplo

Cliente Easy VPN de interfaz virtual dinámica del túnel: Ejemplo

IPsec compatible con VRF con VTI dinámica: Ejemplo

Interfaz virtual dinámica del túnel con firewall virtual: Ejemplo

Interfaz virtual dinámica del túnel con QoS: Ejemplo

Atributos por usuario en un servidor Easy VPN: Ejemplo

Interfaz virtual estática del túnel con IPsec: Ejemplo

El siguiente ejemplo de configuración utiliza una clave previamente compartida para la autenticación entre pares. El tráfico VPN se reenvía a la VTI IPsec para el cifrado y luego se envía hacia la interfaz física. El túnel de la subred 10 verifica los paquetes en busca de la política IPsec y los pasa al motor de crypto map (CE) para la encapsulación IPsec. La figura 5 ilustra la configuración de VTI IPsec.

Figura 5 VTI con IPsec

Configuración del router C7206

version 12.3

service timestamps debug datetime
service timestamps log datetime
hostname 7200-3
no aaa new-model
ip subnet-zero
ip cef
controller ISA 6/1
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key Cisco12345 address 0.0.0.0 0.0.0.0
crypto IPsec transform-set T1 esp-3des esp-sha-hmac
crypto IPsec profile P1
set transform-set T1
!


interface Tunnel0
 ip address 10.0.51.203 255.255.255.0
 ip ospf mtu-ignore
 load-interval 30
 tunnel source 10.0.149.203
 tunnel destination 10.0.149.217
 tunnel mode IPsec ipv4
 tunnel protection IPsec profile P1
!
interface Ethernet3/0
 ip address 10.0.149.203 255.255.255.0
 duplex full
!
interface Ethernet3/3
 ip address 10.0.35.203 255.255.255.0
 duplex full
!
ip classless
ip route 10.0.36.0 255.255.255.0 Tunnel0
line con 0
line aux 0
line vty 0 4
end

Configuración del router C1750

version 12.3

hostname c1750-17
no aaa new-model
ip subnet-zero
ip cef
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2

crypto isakmp key Cisco12345 address 0.0.0.0 0.0.0.0
crypto IPsec transform-set T1 esp-3des esp-sha-hmac
crypto IPsec profile P1
set transform-set T1
!
interface Tunnel0
 ip address 10.0.51.217 255.255.255.0
 ip ospf mtu-ignore
 tunnel source 10.0.149.217
 tunnel destination 10.0.149.203
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile P1
!
interface FastEthernet0/0
 ip address 10.0.149.217 255.255.255.0
 speed 100
 full-duplex
!
interface Ethernet1/0
 ip address 10.0.36.217 255.255.255.0
 load-interval 30
 full-duplex
!


ip classless
ip route 10.0.35.0 255.255.255.0 Tunnel0
line con 0
line aux 0
line vty 0 4
end

Verificación de los resultados para la interfaz virtuales estática del túnel IPSec: Ejemplo

Esta sección proporciona información que puede utilizar para corroborar que su configuración esté funcionando correctamente. En esta pantalla el túnel 0 está "activado" y el protocolo de línea está "desactivado." Si el protocolo de línea está "desactivado" la sesión no está activa.

Verificación de estado de C7206.

Router# show interface tunnel 0

Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 10.0.51.203/24
MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
reliability 255/255, txload 103/255, rxload 110/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 10.0.149.203, destination 10.0.149.217
Tunnel protocol/transport IPsec/IP, key disabled, sequencing disabled
Tunnel TTL 255

Checksumming of packets disabled, fast tunneling enabled
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Tunnel protection via IPsec (profile "P1")
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 1/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/0 (size/max)
30 second input rate 13000 bits/sec, 34 packets/sec
30 second output rate 36000 bits/sec, 34 packets/sec
191320 packets input, 30129126 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
59968 packets output, 15369696 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out

Router# show crypto session

Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.149.217 port 500
IKE SA: local 10.0.149.203/500 remote 10.0.149.217/500 Active
IPsec FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 4, origin: crypto map

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C 10.0.35.0/24 is directly connected, Ethernet3/3
S 10.0.36.0/24 is directly connected, Tunnel0
C 10.0.51.0/24 is directly connected, Tunnel0
C 10.0.149.0/24 is directly connected, Ethernet3/0

Interfaz virtual estática del túnel compatible con VRF: Ejemplo

Para agregar VRF al ejemplo de VTI estática, incluya los comandos ipvrf e ip vrf forwarding a la configuración como se ilustra en el siguiente ejemplo.

Configuración del router C7206

hostname c7206
.
.
ip vrf sample-vti1
 rd 1:1
 route-target export 1:1
 route-target import 1:1
!
.
.
interface Tunnel0
 ip vrf forwarding sample-vti1
 ip address 10.0.51.217 255.255.255.0
 tunnel source 10.0.149.217
 tunnel destination 10.0.149.203
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile P1
.
.
!
end

Interfaz virtual estática del túnel con QoS: Ejemplo

Puede aplicar cualquier política de QoS al punto final (endpoint) del túnel incluyendo la declaración service-policy debajo de la interfaz del túnel. El siguiente ejemplo es el control de tráfico hacia afuera de la interfaz del túnel.

Configuración del router C7206

hostname c7206
.
.
class-map match-all VTI
 match any
!
policy-map VTI
  class VTI
  police cir 2000000
    conform-action transmit
    exceed-action drop
!
.
.
interface Tunnel0
 ip address 10.0.51.217 255.255.255.0
 tunnel source 10.0.149.217
 tunnel destination 10.0.149.203
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile P1
 service-policy output VTI
!
.
.
!
end

Interfaz virtual estática del túnel con firewall virtual: Ejemplo

La aplicación de un firewall virtual a un túnel VTI estático permite que el tráfico radial pase a través del hub para llegar a Internet. La figura 6 ilustra una VTI estática con la protección radial inherente del firewall corporativo.

Figura 6 VTI estática con un Firewall Virtual

La configuración VTI básica se ha modificado para incluir la definición de un firewall virtual.

Configuración del router C7206

hostname c7206
.
.
ip inspect max-incomplete high 1000000
ip inspect max-incomplete low 800000
ip inspect one-minute high 1000000
ip inspect one-minute low 800000
ip inspect tcp synwait-time 60
ip inspect tcp max-incomplete host 100000 block-time 2
ip inspect name IOSFW1 tcp timeout 300
ip inspect name IOSFW1 udp
!
.
.
interface GigabitEthernet0/1
 description Internet Connection
 ip address 172.18.143.246 255.255.255.0
 ip access-group 100 in
 ip nat outside
!
interface Tunnel0
 ip address 10.0.51.217 255.255.255.0
 ip nat inside
 ip inspect IOSFW1 in
 tunnel source 10.0.149.217
 tunnel destination 10.0.149.203
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile P1
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.143.1
!
ip nat translation timeout 120
ip nat translation finrst-timeout 2
ip nat translation max-entries 300000
ip nat pool test1 10.2.100.1 10.2.100.50 netmask 255.255.255.0
ip nat inside source list 110 pool test1 vrf test-vti1 overload
!
access-list 100 permit esp any any
access-list 100 permit udp any eq isakmp any
access-list 100 permit udp any eq non500-isakmp any
access-list 100 permit icmp any any
access-list 110 deny   esp any any
access-list 110 deny   udp any eq isakmp any
access-list 110 permit ip any any
access-list 110 deny   udp any eq non500-isakmp any
!
end

Servidor Easy VPN de interfaz dinámica de túnel virtual: Ejemplo

El siguiente ejemplo ilustra el uso de un servidor DVTI Easy VPN, que cumple la función de agregador de acceso remoto. El cliente puede ser un usuario doméstico que ejecuta un cliente Cisco VPN o puede ser un router Cisco IOS configurado como cliente Easy VPN.

Configuración del router C7206

hostname c7206
!
aaa new-model
aaa authentication login local_list local
aaa authorization network local_list local
aaa session-id common
!
ip subnet-zero
ip cef
!
username cisco password 0 cisco123
!
controller ISA 1/1
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group group1
 key cisco123
 pool group1pool
 save-password
!
crypto isakmp profile vpn1-ra
   match identity group group1
   client authentication list local_list
   isakmp authorization list local_list
   client configuration address respond
   virtual-template 1
!
crypto ipsec transform-set VTI-TS esp-3des esp-sha-hmac
!
crypto ipsec profile test-vti1
 set transform-set VTI-TS
!
interface GigabitEthernet0/1
 description Internet Connection
 ip address 172.18.143.246 255.255.255.0
!
interface GigabitEthernet0/2
 description Internal Network
 ip address 10.2.1.1 255.255.255.0
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 ip virtual-reassembly
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile test-vti1
!
ip local pool group1pool 192.168.1.1 192.168.1.4
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.143.1
!
end

Verificación de los resultados del servidor Easy VPN de interfaz dinámica de túnel virtual: Ejemplo

Los siguientes ejemplos muestran que se ha configurado una VTI para un servidor Easy VPN.

Router# show running-config interface Virtual-Access2

Building configuration...

Current configuration : 250 bytes
!
interface Virtual-Access2
 ip unnumbered Loopback0
 ip virtual-reassembly
 tunnel source 172.18.143.246
 tunnel destination 172.18.143.208
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile test-vti1
 no tunnel protection ipsec initiate
end

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.2.1.10 to network 0.0.0.0

     172.18.0.0/24 is subnetted, 1 subnets
C       172.18.143.0 is directly connected, GigabitEthernet0/1
     192.168.1.0/32 is subnetted, 1 subnets
S       192.168.1.1 [1/0] via 0.0.0.0, Virtual-Access2
     10.0.0.0/24 is subnetted, 1 subnets
C       10.2.1.0 is directly connected, GigabitEthernet0/2
S*   0.0.0.0/0 [1/0] via 172.18.143.1

Cliente Easy VPN de interfaz virtual dinámica del túnel: Ejemplo

El siguiente ejemplo ilustra cómo configurar un router como cliente Easy VPN. Este ejemplo utiliza básicamente la misma idea que el cliente Easy VPN que puede ejecutar desde una PC para conectarse. De hecho, la configuración del servidor Easy VPN funcionará para el cliente de software o el cliente Cisco IOS.

hostname c1841
!
no aaa new-model
!
ip cef
!
username cisco password 0 cisco123
!
crypto ipsec client ezvpn CLIENT
 connect manual
 group group1 key cisco123
 mode client
 peer 172.18.143.246
 virtual-interface 1
 username cisco password cisco123
 xauth userid mode local
!
interface Loopback0
 ip address 10.1.1.1 255.255.255.255
!
interface FastEthernet0/0
 description Internet Connection
 ip address 172.18.143.208 255.255.255.0
 crypto ipsec client ezvpn CLIENT
!
interface FastEthernet0/1
 ip address 10.1.1.252 255.255.255.0
 crypto ipsec client ezvpn CLIENT inside
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
!
ip route 0.0.0.0 0.0.0.0 172.18.143.1
!
end

La definición del cliente puede configurarse de muchas maneras diferentes. El modo especificado por medio del comando connect puede ser automático o manual. Si el modo de conexión está definido como manual, el usuario deberá iniciar el túnel IPsec en forma manual.

También tenga en cuenta el comando mode. El modo puede ser cliente, red-extensión o red-extensión-más. Este ejemplo indica el modo cliente, que quiere decir que el cliente recibe una dirección privada del servidor. El modo red-extensión es diferente del modo cliente en que el cliente especifica la subred privada relacionada para el servidor. Dependiendo del modo, la tabla de enrutamiento de los extremos será sutilmente diferente. El funcionamiento del túnel IPSec sigue siendo la misma, independientemente del modo especificado.

Verificación de los resultados del cliente Easy VPN de interfaz virtual dinámica del túnel: Ejemplo

Los siguientes ejemplos ilustran diferentes modos de visualizar el estado de la DVTI.

Router# show running-config interface Virtual-Access2

Building configuration...

Current configuration : 148 bytes
!
interface Virtual-Access2
 ip unnumbered Loopback1
 tunnel source FastEthernet0/0
 tunnel destination 172.18.143.246
 tunnel mode ipsec ipv4
end

Router# show running-config interface Loopback1

Building configuration...

Current configuration : 65 bytes
!
interface Loopback1
 ip address 192.168.1.1 255.255.255.255
end

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 172.18.143.1 to network 0.0.0.0

     10.0.0.0/32 is subnetted, 1 subnets
C       10.1.1.1 is directly connected, Loopback0
     172.18.0.0/24 is subnetted, 1 subnets
C       172.18.143.0 is directly connected, FastEthernet0/0
     192.168.1.0/32 is subnetted, 1 subnets
C       192.168.1.1 is directly connected, Loopback1
S*   0.0.0.0/0 [1/0] via 172.18.143.1
               [1/0] via 0.0.0.0, Virtual-Access2

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 6

Tunnel name : CLIENT
Inside interface list: FastEthernet0/1
Outside interface: Virtual-Access2 (bound to FastEthernet0/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 192.168.1.1
Mask: 255.255.255.255
Save Password: Allowed
Current EzVPN Peer: 172.18.143.246

IPsec compatible con VRF con VTI dinámica: Ejemplo

Este ejemplo ilustra cómo configurar la IPsec compatible con VRF para aprovechar la VTI dinámica:

hostname c7206
.
.
ip vrf test-vti1
 rd 1:1
 route-target export 1:1
 route-target import 1:1
!
.
.
interface Virtual-Template1 type tunnel
 ip vrf forwarding test-vti1
 ip unnumbered Loopback0
 ip virtual-reassembly
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile test-vti1
!
.
.
end

Interfaz virtual dinámica del túnel con firewall virtual: Ejemplo

El servidor Easy VPN DVTI puede configurarse detrás de un firewall virtual. La configuración detrás del firewall permite que los usuarios accedan a la red, mientas el firewall de la red está protegido contra los accesos no autorizados. El firewall virtual utiliza el control de acceso basado en contexto (CBAC) y NAT aplicada a la interfaz de Internet así como a la plantilla virtual.


hostname c7206
.
.
ip inspect max-incomplete high 1000000
ip inspect max-incomplete low 800000
ip inspect one-minute high 1000000
ip inspect one-minute low 800000
ip inspect tcp synwait-time 60
ip inspect tcp max-incomplete host 100000 block-time 2
ip inspect name IOSFW1 tcp timeout 300
ip inspect name IOSFW1 udp
!
.
.
interface GigabitEthernet0/1
 description Internet Connection
 ip address 172.18.143.246 255.255.255.0
 ip access-group 100 in
 ip nat outside
!
interface GigabitEthernet0/2
 description Internal Network
 ip address 10.2.1.1 255.255.255.0
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 ip nat inside
 ip inspect IOSFW1 in
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile test-vti1
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.143.1
!
ip nat translation timeout 120
ip nat translation finrst-timeout 2
ip nat translation max-entries 300000
ip nat pool test1 10.2.100.1 10.2.100.50 netmask 255.255.255.0
ip nat inside source list 110 pool test1 vrf test-vti1 overload
!
access-list 100 permit esp any any
access-list 100 permit udp any eq isakmp any
access-list 100 permit udp any eq non500-isakmp any
access-list 100 permit icmp any any
access-list 110 deny   esp any any
access-list 110 deny   udp any eq isakmp any
access-list 110 permit ip any any
access-list 110 deny   udp any eq non500-isakmp any
!
end

Interfaz virtual dinámica del túnel con QoS: Ejemplo

Puede agregar QoS al túnel DVTI aplicando la política de servicio a la plantilla virtual. Cuando la plantilla se clona para crear la interfaz de acceso virtual, se aplica la política de servicio. El siguiente ejemplo ilustra la configuración básica de la DVTI con la QoS agregada.

hostname c7206
.
.
class-map match-all VTI
 match any
!
policy-map VTI
  class VTI
  police cir 2000000
    conform-action transmit
    exceed-action drop
!
.
.
interface Virtual-Template1 type tunnel
 ip vrf forwarding test-vti1
 ip unnumbered Loopback0
 ip virtual-reassembly
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile test-vti1
 service-policy output VTI
!
.
.
!
end

Atributos por usuario en un servidor Easy VPN: Ejemplo

El siguiente ejemplo ilustra que los atributos por usuario se han configurado para un servidor Easy VPN.

!

aaa new-model
!
!
aaa authentication login default local
aaa authentication login noAAA none
aaa authorization network default local
!
aaa attribute list per-group
 attribute type inacl "per-group-acl" service ike protocol ip mandatory
!
aaa session-id common
!
resource policy
!
ip subnet-zero
!
!
ip cef
!
!
username example password 0 example
!
!
crypto isakmp policy 3
 authentication pre-share
 group 2
crypto isakmp xauth timeout 90
!
crypto isakmp client configuration group PerUserAAA
 key cisco
 pool dpool
 crypto aaa attribute list per-group
!
crypto isakmp profile vi
 match identity group PerUserAAA
 isakmp authorization list default
 client configuration address respond
 client configuration group PerUserAAA
 virtual-template 1
!
!
crypto ipsec transform-set set esp-3des esp-sha-hmac
!
crypto ipsec profile vi
 set transform-set set
 set isakmp-profile vi
!
!
interface GigabitEthernet0/0
 description 'EzVPN Peer'
 ip address 192.168.1.1 255.255.255.128
 duplex full
 speed 100
 media-type rj45
 no negotiation auto
!
interface GigabitEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
 media-type rj45
 no negotiation auto

interface Virtual-Template1 type tunnel
 ip unnumbered GigabitEthernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile vi
!
ip local pool dpool 10.5.0.1 10.5.0.10
ip classless
!
no ip http server
no ip http secure-server
!
!
ip access-list extended per-group-acl
 permit tcp any any
 deny   icmp any any
logging alarm informational
logging trap debugging
!
control-plane
!
gatekeeper
 shutdown
!
line con 0
line aux 0
 stopbits 1
line vty 0 4
!
!
end

Referencias adicionales

Las siguientes secciones contienen referencias relacionadas con la interfaz virtual del túnel IPsec.

Documentación relacionada

Tema relacionado
Título del documento

IPsec, problemas de seguridad

Cisco IOS Security Configuration Guide (Guía de configuración de seguridad de Cisco IOS)

Comandos de seguridad

Referencia de los comandos de seguridad de Cisco IOS

Configuración de VPN

Servidor Easy VPN Cisco IOS

Servidor Easy VPN Cisco IOS Remoto


Normas

Norma
Título

Ninguna norma nueva o modificada es compatible con esta función y la compatibilidad con las normas actuales no ha sido modificada para esta función.


MIB

MIB
Enlace MIB

Ninguna MIB nueva o modificada es compatible con esta función y la compatibilidad con las MIB actuales no ha sido modificada para esta función.

Para encontrar y descargar MIB para las plataformas seleccionadas, las versiones de Cisco IOS y conjuntos de funciones, utilice el Cisco MIB Locator que puede encontrar en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

RFC 2401

Arquitectura de seguridad para el protocolo de Internet

RFC 2408

Protocolo asociación de seguridad en Internet y administración de claves

RFC 2409

El intercambio de claves de Internet (IKE)


Asistencia técnica

Descripción
Enlace

El sitio web de soporte técnico y documentación de Cisco contiene miles de páginas de búsqueda de contenido técnico que incluyen enlaces a productos, tecnologías, soluciones, consejos técnicos, herramientas y documentación técnica. Los usuarios registrados en Cisco.com pueden iniciar sesión en esta página para acceder incluso a más contenido.

http://www.cisco.com/cisco/web/LA/support/index.html


Referencia de comandos

Esta sección documenta únicamente los siguientes comandos nuevos y modificados.

crypto aaa attribute list

grypto isakmp client configuration group

show vtemplate

interface virtual-plantilla

tunnel mode

tunnel mode

virtual-template

crypto aaa attribute list

Para definir una lista de atributos de autenticación, autorización y contabilidad (AAA) por usuarios para un servidos Easy VPN local, utilice el comando crypto aaa attribute list en el modo de configuración del grupo crypto isakmp. Para eliminar la lista de atributos AAA , utilice la forma de este comando con no.

crypto aaa attribute list nombre de la lista

no crypto aaa attribute list nombre de la lista

Descripción de la sintaxis

list-name

Nombre de la lista de atributos local.


Valor predeterminado del comando

No hay una lista de atributos local definida.

Modos de comando

Configuración del grupo Crypto isakmp

Historial de comando

Versión
Modificación

12.4(9)T

Este comando fue ingresado.


Pautas de uso

No existe un límite para la cantidad de listas que pueden definirse (excepto los límites de almacenamiento NVRAM).

Ejemplos

El siguiente ejemplo ilustra que los atributos por usuario se han configurado para un servidor AAA Easy VPN local.

!

aaa new-model
!
!
aaa authentication login default local
aaa authentication login noAAA none
aaa authorization network default local
!
aaa attribute list per-group
 attribute type inacl "per-group-acl" service ike protocol ip mandatory
!
aaa session-id common
!
resource policy
!
ip subnet-zero
!
!
ip cef
!
!
username example password 0 example
!
!
crypto isakmp policy 3
 authentication pre-share
 group 2
crypto isakmp xauth timeout 90
!
crypto isakmp client configuration group PerUserAAA
 key cisco
 pool dpool
 crypto aaa attribute list per-group
!
crypto isakmp profile vi
 match identity group PerUserAAA
 isakmp authorization list default
 client configuration address respond
 client configuration group PerUserAAA
 virtual-template 1
!
!
crypto ipsec transform-set set esp-3des esp-sha-hmac
!
crypto ipsec profile vi
 set transform-set set
 set isakmp-profile vi
!
!
interface GigabitEthernet0/0
 description 'EzVPN Peer'
 ip address 192.168.1.1 255.255.255.128
 duplex full
 speed 100
 media-type rj45
 no negotiation auto
!
interface GigabitEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
 media-type rj45
 no negotiation auto

interface Virtual-Template1 type tunnel
 ip unnumbered GigabitEthernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile vi
!
ip local pool dpool 10.5.0.1 10.5.0.10
ip classless
!
no ip http server
no ip http secure-server
!
!
ip access-list extended per-group-acl
 permit tcp any any
 deny   icmp any any
logging alarm informational
logging trap debugging
!
control-plane
!
gatekeeper
 shutdown
!
line con 0
line aux 0
 stopbits 1
line vty 0 4
!
!
end

Comandos relacionados

Comando
Descripción

grypto isakmp client configuration group

Especifica para qué grupo se definirá un perfil de política.


grypto isakmp client configuration group

Para especificar para qué grupo se definirá un perfil de política y para acceder al modo de configuración de grupo crypto ISAKMP, utilice el comando crypto isakmp client configuration group en el modo de configuración global. Para eliminar este comando y todos los subcomandos asociados para su configuración, utilice la forma de este comando con no.

crypto isakmp client configuration group {nombre del grupo | default}

no crypto isakmp client configuration group

Descripción de la sintaxis

nombre del grupo

Definición de grupo que identifica qué política se implementará para los usuarios.

default

La política que se implementa para todos los usuarios que no ofrecen un nombre de grupo que coincida con el argumento nombre de grupo . La palabra clave predeterminada sólo puede configurarse a nivel local.


Valores predeterminados del comando

Sin valores ni valores predeterminados.

Modos de comando

Configuración global

Historial de comando

Versión
Modificación

12.2(8)T

Este comando fue ingresado.

12.3(2)T

Se agregaron los comandos access-restrict, firewall are-u-there, group-lock, include-local-lan y save-password. Estos comandos se agregan durante la Configuración de modo. Además, este comando se modificó de modo que la respuesta del mismo muestre que la clave previamente compartida está cifrada o no.

‘12.3(4)T’

Se agregaron los comandos backup-gateway, max-logins, max-users y pfs.

12.2(18)SXD

Este comando se integró a la versión 12.2(18)SXD de Cisco IOS.

12.4(2)T

Se agregó el comando browser-proxy.

12.4(6)T

Se agregó el comando firewall policy.

12.2(33)SRA

Este comando se integró a la versión 12.2(33)SRA de Cisco IOS.

12.4(9)T

Se agregaron los comandos crypto aaa attribute list, dhcp-server y dhcp-timeout.


Pautas de uso

Utilice el comando crypto isakmp client configuration group para especificar la información del políticas de grupo que debe definirse o modificarse. Es posible que desee modificar la política de grupo de su router si decide conectarse al cliente utilizando una ID de grupo que no coincide con el argumento nombre de grupo.

Después de activar este comando que lo lleva al modo de configuración del grupo de Protocolo asociación de seguridad en Internet y administración de claves (ISAKMP), podrá especificar características para la política de grupo por medio de los siguientes comandos:

access-restrict—Relaciona un grupo de Red privada virtual (VPN) a una interfaz específica para acceder a la puerta de enlace de Cisco IOS y a los servicios que protege.

acl—Configura la tunelización dividida.

auto-update-client—Configura la actualización automática.

backup-gateway—Configura un servidor para "enviar" una lista de puertas de enlace de respaldo al cliente. Estas puertas de enlace se encuentran relacionadas en orden en caso de falla de la puerta de enlace anterior. Las puertas de enlace pueden especificarse por medio de direcciones IP o nombres de host.

banner—Especifica un cartel de modo de configuración.

browser-proxy—Aplica una asignación de proxy del navegador a un grupo.

configuration url—Especifica en un servidor la URL que debe utilizar un dispositivo Easy VPN remoto para obtener una configuración en un intercambio de modo de configuración.

configuration version—Especifica en un servidor la versión debe utilizar un dispositivo Cisco Easy VPN remoto para obtener una configuración en un intercambio de modo de configuración.

crypto aaa attribute list—Define una lista de atributos AAA de atributos por usuario en un servidor Easy VPN local.

dhcp server—Configura múltiples entradas del un servidor DHCP.

dhcp timeout—Controla el tiempo de espera antes de que se pruebe el próximo servidor DHCP de la lista.

dns—Especifica los servidores de Servicio de nombre de dominio (DNS) primario y secundario para el grupo.

domain—Especifica la afiliación de un dominio grupal.

firewall are-u-there—Agrega el atributo Firewall-Are-U-There al grupo del servidor si su PC ejecuta los firewalls personales Black Ice o Zone Alarm.

firewall policy—Especifica el nombre de la política del firewall para el grupo de configuración del cliente crypto ISAKMP en un servidor AAA local.

group-lock—Se utiliza si se usa la autenticación con clave previamente compartida de intercambio de claves de Internet (IKE). Le permite acceder a su nombre de autenticación ampliada (Xauth). El delimitador de grupo se compara con el identificador de grupo enviado durante el modo agresivo de IKE.

include-local-lanConfigura el atributo Include-Local-LAN para permitir que una conexión de tunelización no dividida acceda a la subred local al mismo tiempo que el cliente.

key—Especifica la clave IKE previamente compartida al definir la información de política de grupo para la configuración del modos.

max-logins—Limits la cantidad de inicios de sesión simultáneos para los usuarios en un grupo de usuarios específico.

max-users—Limita la cantidad de conexiones a un grupo de servidores específicos.

netmask—Máscara de subred que utilizará el cliente para la conectividad local.

pfs—Configura un servidor para notificar al cliente la política de sitio central con respecto a si el PFS es necesario para cualquier SA IPsec. Dado que el dispositivo cliente no cuenta con una opción de interfaz de usuario para activar o desactivar la negociación PFS, el servidor notificará la política de sitio central al dispositivo cliente a través de este parámetro. El grupo Diffie-Hellman (D-H) que se propone para el PFS será el mismo que se negoció en la Frase 1 de la negociación IKE.

pool—Se refiere a la dirección de agrupación IP local que se utiliza para asignar direcciones IP internas a los clientes.

save-password—Guarda su contraseña Xauth a nivel local en su PC.

split-dns—-Especifica una lista de nombres de dominio que deben tunelizarse o resolverse a la red privada.

wins—Especifica los servidores de servicio de nombres de Internet de Windows (WINS) primarios y secundarios para el grupo.

La respuesta del comando crypto isakmp client configuration group (utilizando el subcomando key) muestra que la clave previamente compartida está cifrada o no. Un ejemplo de respuesta para una clave previamente compartida no cifrada sería el siguiente:

crypto isakmp client configuration group key test

Un ejemplo de respuesta para una clave previamente compartida cifrada tipo 6 sería el siguiente:

grypto isakmp client configuration group

 key 6 JK_JHZPeJV_XFZTKCQFYAAB

Supervisión de sesión y limitación para los clientes Easy VPN

Es posible duplicar la funcionalidad que ofrecen algunos servidores RADIUS para limitar la cantidad de conexiones a un grupo de servidores específico y también para limitar la cantidad de inicios de sesión simultáneos para los usuarios de dicho grupo.

Para limitar la cantidad de conexiones a un grupo de servidores específico, utilice el subcomando max-users. Para limitar la cantidad de inicios de sesión simultáneos para los usuarios del grupo de servidores, utilice el subcomando max-logins.

El siguiente ejemplo ilustra los pares valor-atributo (AV) RADIUS para los parámetros cantidad máxima de usuarios y cantidad máxima de inicios de sesión:

ipsec:max-users=1000
ipsec:max-logins=1

Los comandos max-users y max-logins pueden activarse conjunta o individualmente para controlar el uso de los recursos por parte de grupos o individuos.

Si utiliza un servidor RADIUS, como un servidor CiscoSecure de control de acceso (ACS), se recomienda que active este control de sesión en un servidor RADIUS si se provee la funcionalidad. De esta manera, es posible controlar el uso en una cantidad de servidores a través de un repositorio central. Al activar esta función para el router mismo, se supervisan únicamente las conexiones a grupos de ese dispositivo específico y los escenarios de distribución de carga no se supervisan con precisión.

Ejemplos

El siguiente ejemplo ilustra cómo definir la información de política de grupo para la configuración de modo. En este ejemplo, el primer nombre de grupo es "cisco" y el segundo nombre de grupo es "default." Por lo tanto, la política predeterminada se aplicará para todos los usuarios que no ofrecen un nombre un nombre de grupo que coincida con "cisco."

crypto isakmp client configuration group cisco
 key cisco
 dns 10.2.2.2 10.2.2.3
 wins 10.6.6.6
 domain cisco.com
 pool fred
 acl 199
!
crypto isakmp client configuration group default
 key cisco
 dns 10.2.2.2 10.3.2.3
 pool fred
 acl 199

Comandos relacionados

Comando
Descripción

access-restrict

Relaciona un grupo de VPN a una interfaz específica para acceder a la puerta de enlace de Cisco IOS y a los servicios que protege.

acl

Configura la tunelización dividida.

backup-gateway

Configura un servidor para "enviar" una lista de puertas de enlace de respaldo al cliente.

browser-proxy

Aplica una configuración browser-proxy a un grupo.

crypto isakmp keepalive

Agrega el atributo Firewall-Are-U-There al grupo del servidor si su PC ejecuta los firewalls personales Black Ice o Zone Alarm.

dns

Especifica los servidores DNS primarios y secundarios.

domain (isakmp-group)

Especifica el dominio DNS al que pertenece un grupo.

firewall are-u-there

Agrega el atributo Firewall-Are-U-There al grupo del servidor si su PC ejecuta los firewalls personales Black Ice o Zone Alarm.

firewall policy

Especifica el nombre de la política del firewall para el grupo de configuración del cliente crypto ISAKMP en un servidor AAA local.

group-lock

Le permite ingresar su nombre de usuario Xauth, incluyendo el nombre de grupo, cuando se utiliza la autenticación de clave previamente compartida con IKE.

include-local-lan

Configura el atributo Include-Local-LAN para permitir que una conexión de tunelización no dividida acceda a la subred local al mismo tiempo que el cliente.

key (isakmp-group)

Especifica la clave previamente compartida IKE para la definición de atributos Grupo-Política.

max-logins

Limita la cantidad de inicios de sesión simultáneos para los usuarios en un grupo de servidores específico.

max-users

Limita la cantidad de conexiones a un grupo de servidores específicos.

pool (isakmp-group)

Define una dirección de agrupación local.

save-password

Guarda su contraseña Xauth a nivel local en su PC.

set aggressive-mode client-endpoint

Especifica el atributo Túnel-Cliente-punto final (endpoint) dentro de una configuración de pares ISAKMP.


crypto isakmp profile

Para definir un perfil de Protocolo asociación de seguridad en Internet y administración de claves (ISAKMP) y para auditar las sesiones de los usuarios de seguridad IP (IPsec), utilice el comando crypto isakmp profile en el modo de configuración global. Para eliminar un perfil de crypto map ISAKMP, utilice la forma de este comando con no.

crypto isakmp profile nombre-perfil [accounting lista-aaa]

no crypto isakmp profile nombre-perfil [accounting lista-aaa-]

Descripción de la sintaxis

profile-name

Nombre del perfil del usuario. Para asociar un perfil de usuario con el servidor RADIUS, debe identificarse el nombre del perfil.

accounting aaa-list

(Opcional) Nombre de una lista de contabilidad de clientes.


Valores predeterminados del comando

No existe un perfil si no se utiliza el comando.

Modos de comando

Configuración global

Historial de comando

Versión
Modificación

12.2(15)T

Este comando fue ingresado.

12.2(18)SXD

Este comando se integró a la versión 12.2(18)SXD de Cisco IOS.

12.4(2)T

Se agregó la compatibilidad para las interfaces virtuales dinámicas del túnel.

12.4(4)T

Se agregó la compatibilidad para IPv6.

12.2(33)SRA

Este comando se integró a la versión 12.2(33)SRA de Cisco IOS.


Pautas de uso

Definición de un perfil ISAKMP

Un perfil ISAKMP puede visualizarse como un repositorio de comandos los Phase 1 y Phase 1.5 para un conjunto de pares. La configuración de la Phase 1 incluye comandos para configurar elementos como keepalive, correlación de identidad y la lista de autorización. La configuración de la Phase 1.5 incluye comandos para configurar elementos como la autenticación ampliada (Xauth) y la configuración de modo.

Los pares se asignan a un perfil ISAKMP cuando se correlacionan sus identidades (como se asigna en la carga útil de la identificación [ID] del intercambio de claves de Internet [IKE]) contra las identidades definidas en el perfil ISAKMP. Para realizar una asignación única a un perfil ISAKMP, ningún perfil SAKMP debe coincidir con la misma identidad. Si la identidad se correlaciona con dos perfiles ISAKMP, la configuración no será válida. Además, deberá definirse al menos un comando match identity en el perfil ISAKMP para que se complete.

Después de activar este comando y de acceder al modo de configuración del perfil ISAKMP podrá configurar los siguientes comandos:

accounting—Activa la autenticación, autorización y contabilidad (AAA).

ca trust-point—Especifica las autoridades de los certificados.

client—Especifica los parámetros de configuración del cliente.

default—Enumera los subcomandos para el comando crypto isakmp profile.

description—Especifica una descripción de este perfil.

initiate mode—Inicia un modo.

isakmp authorization—Parámetros de autorización ISAKMP.

keepalive—Define el intervalo de keepalive.

keyring—Especifica un archivo de claves.

local-address—Especifica la interfaz que se utilizará como dirección local de este perfil ISAKMP.

match—Correlaciona los valores del par.

qos-group—Aplica una asignación de clase de política de Calidad de Servicio (QoS) para este perfil.

self-identity—Especifica la identidad.

virtual-template—Especifica la plantilla virtual para la interfaz dinámica.

vrf—Especifica la instancia del enrutamiento y reenvío de la Red privada virtual (VRF) a la que se relaciona el perfil.

Auditoría de las sesiones de usuario IPSec

Utilice este comando para auditar sesiones de múltiples usuarios que terminan en la puerta de enlace IPSec.


Nota El comando crypto isakmp profile y el comando crypto map (global IPSec) se excluyen mutuamente. Si hay un perfil presente (se ha utilizado el comando crypto isakmp profile), sin contabilidad configurada, pero con el comando global presente (el comando crypto isakmp profile sin la palabra clave accounting), se realizará la contabilidad utilizando los atributos del comando global.


Interfaces virtuales dinámicas del túnel

La compatibilidad con las interfaces virtuales dinámicas del túnel permite que el perfil virtual se asigne a una plantilla virtual específica.

Ejemplos

Perfil ISAKAMP, ejemplo de correlación de identidades de los pares

El siguiente ejemplo ilustra cómo definir un perfil ISAKMP y correlacionar las identidades de los pares:

crypto isakmp profile vpnprofile
 match identity address 10.76.11.53

Ejemplo de perfil ISAKAMP con contabilidad

El siguiente ejemplo de contabilidad ilustra cómo se configura un perfil ISAKMP:

aaa new-model
!
!
aaa authentication login cisco-client group radius
aaa authorization network cisco-client group radius
aaa accounting network acc start-stop broadcast group radius
aaa session-id common
!
crypto isakmp profile cisco
vrf cisco
match identity group cclient
 client authentication list cisco-client
 isakmp authorization list cisco-client
 client configuration address respond
 accounting acc
!
crypto dynamic-map dynamic 1
 set transform-set aswan
 set isakmp-profile cisco
 reverse-route
!
!
radius-server host 172.16.1.4 auth-port 1645 acct-port 1646
radius-server key nsite

Comandos relacionados

Comando
Descripción

crypto map (global IPsec)

Accede al modo de configuración de crypto map y crea o modifica una entrada de crypto map, crea un perfil de crypto map que proporciona una planilla para la configuración de crypto maps creadas dinámicamente o configura una lista de contabilidad de clientes.

debug crypto isakmp

Muestra mensajes acerca de los eventos IKE.

match identity

Correlaciona una identidad de un par en un perfil ISAKMP.

tunnel protection

Asocia una interfaz de túnel con un perfil de seguridad IP (IPsec).

virtual template

Especifica qué plantilla virtual se utilizará para clonar interfaces de acceso virtual.


interface virtual-plantilla

Para crear una interfaz de plantilla virtual que pueda configurarse y aplicarse dinámicamente en la creación de interfaces de acceso virtual, utilice el comando interface virtual-template en el modo de configuración global. Para eliminar una interfaz de planilla virtual, utilice la forma de este comando con no.

interface virtual-template número

interface virtual-template número

Descripción de la sintaxis

número

Número utilizado para identificar la interfaz de plantilla virtual. Pueden configurarse hasta 200 interfaces de plantilla virtual.


Valor predeterminado del comando

No se define ninguna interfaz de plantilla virtual.

Modos de comando

Configuración global

Historial de comando

Versión
Modificación

11.2F

Este comando fue ingresado.

12.2(4)T

Este comando se ha mejorado para incrementar la cantidad máxima de interfaces de plantillas virtuales de 25 a 200.

12.2(28)SB

Este comando se integró a la versión 12.2(28)SB de Cisco IOS.

12.2(33)SRA

Este comando se integró a la versión 12.2(33)SRA de Cisco IOS.


Pautas de uso

Se utiliza una interfaz de plantilla virtual para proporcionar la configuración de interfaces de acceso virtual creadas dinámicamente. La crean los usuarios t puede almacenarse en NVRAM.

Una vez creada una interfaz de plantilla virtual, se la puede configurar del mismo modo que una interfaz de serie.

Las interfaces de plantilla virtual pueden crearse y aplicarse a través de diversas aplicaciones como los perfiles virtuales, las redes de marcación privadas virtuales (VPDN), PPP sobre ATM, traducción de protocolos y Multichasis Multienlaces PPP (MMP).

Ejemplos

Ejemplo de plantilla virtual con autenticación PPP

El siguiente ejemplo crea y configura la interfaz de plantilla virtual 1:

interface virtual-template 1 type ethernet
 ip unnumbered ethernet 0
 ppp multilink
 ppp authentication chap

Ejemplo de plantilla virtual IPsec

EL siguiente ejemplo ilustra cómo configurar una plantilla virtual para una interfaz virtual del túnel IPsec.

interface virtual-template1 type tunnel
 ip unnumbered Loopback1
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile virtualtunnelinterface

Comandos relacionados

Comando
Descripción

tunnel protection

Asocia una interfaz de túnel con un perfil IPsec.

virtual interface

Define el nombre de zona para la red AppleTalk conectada.

virtual template

Especifica el destino de una interfaz del túnel.


show vtemplate

Para visualizar la información acerca de todas las plantillas virtuales configuradas, utilice el comando show vtemplate en el modo EXEC privilegiado.

show vtemplate

Descripción de la sintaxis

Este comando no tiene argumentos ni palabras clave.

Modos de comando

EXEC privilegiado

Historial de comando

Versión
Modificación

12.0(7)DC

Este comando se agregó en Cisco 6400 NRP.

12.2(13)T

Este comando se integró a la versión 12.2(13)T de Cisco IOS.

12.3(14)T

La pantalla de visualización se modificó para mostrar el tipo de interfaz en la plantilla virtual y para proporcionar contadores por tipo de interfaz para las interfaces virtuales del túnel IPsec.

12.2(33)SRA

Este comando se integró a la versión 12.2(33)SRA de Cisco IOS.


Ejemplos

A continuación se incluye un ejemplo de la respuesta del comando show vtemplate:

Router# show vtemplate

Virtual access subinterface creation is globally enabled

         Active     Active    Subint  Pre-clone Pre-clone Interface
       Interface Subinterface Capable Available   Limit     Type
       --------- ------------ ------- --------- --------- ---------
Vt1            0            0   Yes          --        --   Serial
Vt2            0            0   Yes          --        --   Serial
Vt4            0            0   Yes          --        --   Serial
Vt21           0            0    No          --        --   Tunnel
Vt22           0            0   Yes          --        --   Ether
Vt23           0            0   Yes          --        --   Serial
Vt24           0            0   Yes          --        --   Serial

Usage Summary
                              Interface   Subinterface
                              ---------   ------------
Current Serial  in use                1              0
Current Serial  free                  0              3
Current Ether   in use                0              0
Current Ether   free                  0              0
Current Tunnel  in use                0              0
Current Tunnel  free                  0              0
Total                                 1              3

Cumulative created                    8              4
Cumulative freed                      0              4

Base virtual access interfaces: 1
Total create or clone requests: 0
Current request queue size: 0
Current free pending: 0

Maximum request duration: 0 msec
Average request duration: 0 msec
Last request duration: 0 msec

Maximum processing duration: 0 msec
Average processing duration: 0 msec
Last processing duration: 0 msec
Last processing duration:0 msec

La tabla 1 describe los campos importantes se ilustran en el ejemplo.

Tabla 1 Descripciones de los campos de show vtemplate 

Campo
Descripción

Virtual access subinterface creation is globally...

El parámetro configurado del comando virtual-template . Creación de la subinterfaz de acceso virtual activada o desactivada.

Active Interface

La cantidad de interfaces de acceso virtual que se clona a partir de una plantilla virtual específica.

Active Subinterface

La cantidad de subinterfaces de acceso virtual que se clona a partir de una plantilla virtual específica.

Subint Capable

Especifica si la configuración de la plantilla virtual es compatible con la subinterfaz de acceso virtual.

Pre-clone Available

La cantidad de interfaces de acceso virtual preclonadas disponibles para su uso para una plantilla virtual en particular.

Pre-clone Limit

La cantidad de interfaces de acceso virtual preclonadas disponibles para una plantilla virtual en particular.

Current in use

La cantidad de interfaces y subinterfaces de acceso virtual que se encuentran en uso.

Current free

La cantidad de interfaces y subinterfaces de acceso virtual que ya no se encuentran en uso.

Total

La cantidad total de interfaces y subinterfaces de acceso virtual existentes.

Cumulative created

La cantidad de solicitudes de interfaces o subinterfaces de acceso virtual que se han satisfecho.

Cumulative freed

La cantidad de ocasiones en las que se ha liberado la aplicación que utiliza la interfaz o subinterfaz de acceso virtual.

Base virtual-access interfaces

Este campo especifica la cantidad de interfaces de acceso virtual básicas. La interfaz de acceso virtual básica se utiliza para crear subinterfaces de acceso virtual. Existe una interfaz de acceso virtual básica por cada aplicación compatible con las subinterfaces. La interfaz de acceso virtual básica puede identificarse a partir de la respuesta del comando show interfaces virtual-access .

Total create or clone requests

La cantidad de solicitudes que se hacen a través de la API de solicitudes asincrónicas del administrador de plantillas virtuales.

Current request queue size

La cantidad de elementos de la cola de tareas del administrador de plantillas virtuales.

Current free pending

La cantidad de interfaces de acceso virtual cuya liberación se encuentra pendiente. Estas interfaces de acceso virtual no pueden liberarse porque todavía se encuentran en uso.

Maximum request duration

El plazo máximo entre la realización de la solicitud asincrónica hasta la notificación a la aplicación de dicha solicitud.

Average request duration

El plazo promedio entre la realización de la solicitud asincrónica hasta la notificación a la aplicación de dicha solicitud.

Last request duration

El plazo entre la realización de la solicitud asincrónica hasta la notificación a la aplicación de dicha solicitud.

Maximum processing duration

El plazo máximo que utilizó el administrador de plantillas virtuales para cumplir con la solicitud.

Average processing duration

El plazo promedio que utilizó el administrador de plantillas virtuales para cumplir con la solicitud.

Last processing duration

El plazo que utilizó el administrador de plantillas virtuales para cumplir con la solicitud más reciente.


Comandos relacionados

Comando
Descripción

show interfaces virtual-access

Muestra el estado, tráfico de datos e información de configuración de una interfaz de acceso virtual.

virtual-template

Especifica qué plantilla virtual se utilizará para clonar interfaces de acceso virtual.


tunnel mode

Para definir el modo de encapsulación para la interfaz del túnel, utilice el comando tunnel mode en el modo de configuración de la interfaz. Para restaurar el modo predeterminado, utilice la forma de este comando con no.

tunnel mode {aurp | cayman | dvmrp | eon | gre | gre multipoint | gre ipv6 | ipip [decapsulate-any] | ipsec ipv4 | iptalk | ipv6 | ipsec ipv6 | mpls | nos | rbscp}

no tunnel mode

Descripción de la sintaxis

aurp

Protocolo de enrutamiento basado en actualizaciones de AppleTalk.

cayman

encapsulación Cayman TunnelTalk AppleTalk.

dvmrp

Protocolo DVMRP.

eon

Túnel del protocolo CLNS.

gre

Protocolo de encapsulación de enrutamiento genérico (GRE). Este es el valor predeterminado.

gre multipoint

GRE multipunto (mGRE).

gre ipv6

Tunelización GRE que utiliza IPv6 como protocolo de entrega.

ipip

Encapsulación de IP sobre IP

decapsulate-any

(Opcional) Termina cualquier cantidad de túneles IP-en-IP en una interfaz del túnel.

Este túnel no transmitirá tráfico saliente; sin embargo, cualquier cantidad de puntos extremos de túneles remotos podrán utilizar un túnel configurado así como destino.

ipsec ipv4

El modo de túnel es IPSec y el transporte es IPv4.

iptalk

Encapsulación Apple IPTalk.

ipv6

Interfaz estática del túnel configurada para encapsular paquetes IPv6 o IPv4 en IPv6.

ipsec ipv6

El modo de túnel es IPSec y el transporte es IPv6.

mpls

Encapsulación por conmutación de etiquetas de protocolos múltiples (MPLS)

nos

IP sobre IP compatible con KA9Q/NOS.

rbscp

Protocolo RBSCP.


Valores predeterminados del comando

Tunelización GRE

Modos de comando

Configuración de la interfaz

Historial de comando

Versión
Modificación

10.0

Este comando fue ingresado.

10.3

Se han agregado las palabras clave aurp, dvmrp e ipip.

11.2

Se agregó la palabra clave opcional decapsulate-any.

12.2(13)T

Se agregó la palabra clave gre multipoint.

12.3(7)T

Se agregaron las siguientes palabras clave:

gre ipv6 para brindar compatibilidad con la tunelización GRE que utiliza IPv6 como protocolo de entrega.

ipv6 para permitir que una interfaz estática del túnel se configure para encapsular paquetes IPv6 o IPv4 en IPv6.

rbscp compatible con RBSCP.

12.3(14)T

Se agregó la palabra clave ipsec ipv4.

12.2(18)SXE

Se agregó la palabra clave gre multipoint.

12.2(30)S

Este comando se integró a la versión 12.2(30)S de Cisco IOS.

12.4(4)T

Se agregó la palabra clave ipsec ipv6.

12.2(33)SRA

Este comando se integró a la versión 12.2(33)SRA de Cisco IOS.


Pautas de uso

Dirección de origen y destino

No es posible tener dos túneles que utilicen el mismo modo de encapsulación con la misma dirección de origen y destino. La solución es crear una interfaz de bucle de retorno y enviar paquetes hacia la interfaz de bucle de retorno.

Tunelización Cayman

Diseñada por Cayman Systems, la tunelización Cayman implementa la tunelización para permitir que los routers de Cisco interactúen con los Cayman GatorBoxes. Con la tunelización Cayman, puede establecer túneles entre dos routers o entre un router Cisco y un GatorBox. Cuando se utiliza la tunelización Cayman no debe configurar el túnel con una dirección de red AppleTalk.

DVMRP

Utilice el DVMRP cuando un router se conecta a un router mrouted (multidifusión) para ejecutar el DVMRP en un túnel. Debe configurar la Multidifusión con protocolo independiente (PIM) y una dirección IP en un túnel DVMRP.

GRE con AppleTalk

La tunelización GRE puede realizase únicamente entre routers Cisco. Cuando se utiliza la tunelización GRE, configure el túnel con una dirección de red AppleTalk. Al utilizar una dirección de red AppleTalk puede realizar un ping del otro extremo del túnel para verificar la conexión.

GRE multipunto

Después de activar la tunelización mGRE, podrá activar el comando tunnel protection que le permite asociar el túnel mGRE con un perfil IPSec. Combinar los túneles mGRE y el cifrado IPSec permite que una única interfaz mGRE para proporcionar compatibilidad para múltiples túneles IPSec, simplificando de esa manera el tamaño y la complejidad de la configuración.


Nota La túneles GRE keepalives configurados a través del comando keepalive en la interfaz GRE son compatibles únicamente con los túneles GRE punto a punto.


RBSCP

La tunelización RBSCP está diseñada para enlaces inalámbricos de retrado o de larga distancia con grandes márgenes de error, como los enlaces satelitales. Por medio de los túneles, el RBSCP puede mejorar el desempeño de ciertos protocolos IP como el TCP y IPSec, a través de enlaces satelitales sin interrumpir el modelo de extremo a extremo.

IPSec en transporte IPv6

La encapsulación IPv6 IPSec ofrece protección IPSec de sitio a sitio del tráfico IPv6 unidifusión y multidifusión. Esta función permite que los routers IPv6 funcionen como una puerta de enlace de seguridad, establece túneles IPSec entre otro router de puerta de enlace de seguridad y ofrece protección IPSec criptográfica desde una red interna cuando transmite desde la Internet IPv6 pública. La IPSec IPv6 es muy similar al modelo de la puerta de enlace de seguridad que utiliza la protección IPsec IPv4.

Ejemplos

Tunelización Cayman

El siguiente ejemplo ilustra cómo activar la tunelización Cayman:

Router(config)# interface tunnel 0
Router(config-if)# tunnel source ethernet 0
Router(config-if)# tunnel destination 10.108.164.19
Router(config-if)# tunnel mode cayman

Tunelización GRE

El siguiente ejemplo ilustra cómo activar la tunelización GRE:

Router(config)# interface tunnel 0
Router(config-if)# appletalk cable-range 4160-4160 4160.19
Router(config-if)# appletalk zone Engineering
Router(config-if)# tunnel source ethernet0
Router(config-if)# tunnel destination 10.108.164.19
Router(config-if)# tunnel mode gre

IPSec en transporte IPv4

El siguiente ejemplo ilustra cómo configurar un túnel utilizando la encapsulación IPSec con IPv4 como mecanismo de transporte:

Router(config)# crypto ipsec profile PROF

Router(configcrypto isakmp profile vpnprofile #  set transform tset

match identity address 10.76.11.53

Router(configaaa new-model # interface Tunnel0

Router(config! # ip address 10.1.1.1 255.255.255.0

Router(config! # tunnel mode ipsec ipv4

Router(configaaa authentication login cisco-client group radius # tunnel source Loopback0

Router(configaaa authorization network cisco-client group radius # tunnel destination 172.16.1.1

Router(configaaa accounting network acc start-stop broadcast group radius # tunnel protection ipsec profile PROF

IPSec en transporte IPv6

El siguiente ejemplo ilustra cómo configurar una interfaz del túnel IPSec IPv6:

Router(config)# interface tunnel 0
Router(config-if)# ipv6 address 2001:0DB8:1111:2222::2/64
Router(config-if)# tunnel destination 10.0.0.1
Router(config-if)# tunnel source Ethernet 0/0
Router(config-if)# tunnel mode ipsec ipv6

Router(config-if)# tunnel protection ipsec profile profile1

Tunelización GRE multipunto

El siguiente ejemplo ilustra cómo activar la tunelización mGRE:

interface Tunnel0
 bandwidth 1000
 ip address 10.0.0.1 255.255.255.0
! Ensures longer packets are fragmented before they are encrypted; otherwise, the
! receiving router would have to do the reassembly.
 ip mtu 1416
! Turns off split horizon on the mGRE tunnel interface; otherwise, EIGRP will not
! advertise routes that are learned via the mGRE interface back out that interface.
 no ip split-horizon eigrp 1
 no ip next-hop-self eigrp 1
 delay 1000
! Sets IPSec peer address to Ethernet interface's public address.
 tunnel source Ethernet0
 tunnel mode gre multipoint
! The following line must match on all nodes that want to use this mGRE tunnel.
 tunnel key 100000
 tunnel protection ipsec profile vpnprof

Tunelización RBSCP

El siguiente ejemplo ilustra cómo activar la tunelización RBSCP:

Router(config)# interface tunnel 0
Router(config-if)# tunnel source ethernet 0
Router(config-if)# tunnel destination 10.108.164.19
Router(config-if)# tunnel mode rbscp

Comandos relacionados

Comando
Descripción

appletalk cable-range

Activa una red AppleTalk expandida.

appletalk zone

Define el nombre de zona para la red AppleTalk conectada.

tunnel destination

Especifica el destino de una interfaz del túnel.

tunnel protection

Asocia una interfaz de túnel con un perfil IPSec.

tunnel source

Define la dirección de origen de una interfaz del túnel.


virtual-template

Para especificar qué plantilla virtual se utilizará para clonar interfaces de acceso virtual, utilice el comando virtual-template en el modo de configuración del grupo VPDN. Para eliminar la plantilla virtual de un grupo de red virtual de acceso telefónico privada (VPDN), utilice la forma de este comando con no .

virtual-template número de plantilla

no virtual-template

Descripción de la sintaxis

número de plantilla

Número de la plantilla virtual que se utilizará para clonar las interfaces de acceso virtual.


Valores predeterminados del comando

No se activa ninguna plantilla virtual.

Modos de comando

Configuración de grupo VPDN

Historial de comando

Versión
Modificación

12.0(5)T

Este comando fue ingresado.

12.1(1)T

Este comando se ha mejorado para activar PPPoE sobre ATM para aceptar sesiones de marcado PPP sobre Ethernet (PPPoE).

12.2(15)T

Este comando se ha mejorado para permitir que se apliquen los atributos IP por usuario a una sesión de marcación de salida de un protocolo de tunelización de Capa 2 (L2TP).


Pautas de uso

En primer lugar debe activar un protocolo de tunelización en un grupo VPDN por medio del comando protocol (VPDN) antes de activar el comando virtual-template . Eliminar o modificar el comando protocol eliminará el comando virtual-template del grupo VPDN.

Cada grupo VPDN puede clonar únicamente interfaces de acceso virtual utilizando una plantilla virtual. Si ingresa un segundo comando virtual-template en un grupo VPDN reemplazará el primer comando virtual-template.

La tabla 1 enumera los comandos del grupo VPDN bajo los cuales puede ingresarse el comando virtual-template. Al ingresar el comando VPDN group se inicia el modo de configuración del grupo VPDN. La tabla incluye el indicador de línea de comandos para el modo de configuración del grupo VPDN y el tipo de servicio configurado.

Tabla 2 Subgrupos VPDN

Comando del grupo VPDN
Indicación del modo de comando
Tipo de servicio

accept-dialin

aaa session-id common

Servidor del túnel

request-dialout

!

Servidor de red L2TP (LNS)


Cuando se ingresa el comando virtual-template en un subgrupo VPDN solicitar marcado de salida , IP y otros atributos por usuario pueden aplicarse a una sesión de marcado de salida L2TP desde una LNS. Antes de mejorar este comando, la configuración por usuario IP desde los servidores de autenticación, autorización y contabilidad (AAA) no era compatible; la configuración IP se origina desde la interfaz de marcado definida en el router.

El comando virtual-template funciona de manera similar a la configuración de perfiles virtuales y marcado L2TP. La interfaz de acceso virtual L2TP se clona en primer lugar desde la plantilla virtual, es decir que las configuraciones de las interfaces de plantilla virtual se aplicarán a la interfaz de acceso virtual L2TP. Después de la autenticación, la configuración AAA por usuario se aplica a la interfaz de acceso virtual. Dado que los atributos AAA por usuario se aplican únicamente una vez que se ha autenticado el usuario, el LNS debe configurarse para autenticar al usuario de marcado de salida (la autenticación de la configuración es necesaria para este comando).

Con el comando virtual-template mejorado, ahora todos los componentes de software pueden utilizar la configuración actual de la interfaz de acceso virtual en lugar de la configuración de la interfaz de marcado. Por ejemplo, la negociación de direcciones del protocolo de control IP (IPCP) utiliza la dirección local de la interfaz de acceso virtual como la dirección del router en la negociación con el par.

Ejemplos

El siguiente ejemplo permite que el LNS acepte un túnel L2TP desde un concentrador de acceso L2TP (LAC) denominado LAC2. Se clonará una interfaz de acceso virtual desde la plantilla virtual 1.

vpdn-group 1
 accept-dialin
  protocol l2tp
  virtual-template 1
 terminate-from hostname LAC2

El siguiente ejemplo permite que el PPPoE sobre ATM acepte sesiones de marcado PPPoE. Se clona una interfaz de acceso virtual para la sesión PPP desde la plantilla virtual 1.

vpdn-group 1
 accept-dialin
  protocol pppoe
  virtual-template 1

El siguiente ejemplo parcial ilustra cómo configurar una LNS para brindar compatibilidad para las configuraciones IP por usuario desde un servidor AAA:

!
vpdn enable
vpdn search-order domain
!
vpdn-group 1
.
.
.
 request-dialout
  protocol l2tp
  rotary-group 1
  virtual-template 1
 initiate-to ip 10.0.1.194.2
 local name lns
 l2tp tunnel password 7094F3$!5^3
 source-ip 10.0.194.53
!

La configuración anterior requiere un perfil AAA como el del siguiente ejemplo para especificar los atributos por usuario:

5300-Router1-out  Password = "cisco"
     Service-Type = Outbound
     cisco-avpair = "outbound:dial-number=5550121"
7200-Router1-1  Password = "cisco"
     Service-Type = Outbound
     cisco-avpair = "ip:route=10.17.17.1 255.255.255.255 Dialer1 100 name 5300-Router1"
5300-Router1 Password = "cisco"
     Service-Type = Framed
     Framed-Protocol = PPP
     cisco-avpair = "lcp:interface-config=ip unnumbered loopback 0"
     cisco-avpair = "ip:outacl#1=deny ip host 10.5.5.5 any log"
     cisco-avpair = "ip:outacl#2=permit ip any any"
     cisco-avpair = "ip:inacl#1=deny ip host 10.5.5.5 any log"
     cisco-avpair = "ip:inacl#2=permit ip any any"
     cisco-avpair = "multilink:min-links=2"
     Framed-Route = "10.5.5.6/32 Ethernet4/0"
     Framed-Route = "10.5.5.5/32 Ethernet4/0"
     Idle-Timeout = 100

Comandos relacionados

Comando
Descripción

accept-dialin

Configura un LNS para aceptar conexiones PPP tunelizadas desde una LAC y para crear un subgrupo VPDN accept-dialin.

protocol (VPDN)

Especifica el protocolo de tunelización de Capa 2 que utilizará el subgrupo VPDN.

request-dialout

Permite que un LNS solicite llamadas VPDN de marcado saliente a través de L2TP y crear un subgrupo VPDN de solicitud de marcado saliente.

vpdn-group

Define un identificador numérico de grupo local y único.


Información de funciones para interfaces virtuales del túnel IPSec

La tabla 3 enumera la historia de las versiones de esta función.

No todos los comandos estarán disponibles para su versión de Software Cisco IOS. Para obtener información adicional acerca de un comando específico, consulte la documentación de referencia de comandos.

Las imágenes de Software Cisco IOS son específicas para una versión de Software Cisco IOS, un conjunto de funciones y una plataforma. Utilice el Cisco Feature Navigator para buscar información sobre compatibilidad con plataformas y con imágenes de Software Cisco IOS. Acceda al Cisco Feature Navigator en http://www.cisco.com/go/fn. Usted debe tener una cuenta en Cisco.com. Si no tiene una cuenta o si olvidó su nombre de usuario o contraseña, haga clic en Cancelar en el cuadro de diálogo de inicio de sesión y siga las instrucciones que aparecerán.


Nota La Tabla 3 enumera únicamente la versión de Software Cisco IOS que incluye la compatibilidad para una función específica de una versión específica de Software Cisco IOS. A menos que haya una indicación en contrario, las versiones posteriores de Software Cisco IOS también son compatibles con dicha función.


Tabla 3 Información de funciones para interfaces virtuales dinámicas del túnel IPSec

Nombre de la función
Versiones
Información de configuración de funciones

VTI IPsec estática

12.3(7)T
12.3(14)T
12.2(33)SRA

Las VTI IPsec (VTI) ofrecen un tipo de interfaz enrutable para la finalización de túneles IPsec y un modo sencillo de definir la protección entre sitios para conformar una red superpuesta. Las VTI IPsec simplifican la configuración de la IPsec para la protección de enlaces remotos, son compatibles con la multidifusión y simplifican la administración y el balance de la carga de la red.

Las interfaces estáticas del túnel pueden configurarse para encapsular paquetes IPv6 o IPv4 en IPv6.

VTI IPsec dinámica

12.3(7)T
12.3(14)T

Las VTI dinámicas ofrecen eficiencia en el uso de las direcciones IP y brindan una conectividad segura. Las VTI dinámicas permiten configurar políticas descargables dinámicamente por grupo y por usuario en un servidor RADIUS. La definición por grupo o por usuario puede crearse utilizando Xauth del grupo User o Unity o puede derivarse de un certificado. Las VTI dinámicas están basadas en las normas, por lo tanto son compatibles con la interoperabilidad en un entorno de proveedores múltiples. Las VTI IPsec dinámicas le permiten crear una conectividad altamente segura para las VPN de acceso remoto y pueden combinarse con una arquitectura Cisco para voz, video y datos integrados (AVVID) para proporcionar voz, video y datos con convergencia a través de redes IP. La VTI dinámica simplifica la Implementación de la IPSec compatible con el VRF. El VRF se configura en la interfaz.

Compatibilidad para atributos por usuario para servidores Easy VPN

12.4(9)T

Esta función ofrece compatibilidad para atributos por usuario para un servidor Easy VPN.

Las siguientes secciones proporcionan información acerca de esta función: Sección "Compatibilidad para atributos por usuario para servidores Easy VPN"

Los siguientes comandos se han agregado o modificado por parte de esta función: crypto aaa attribute list y crypto isakmp client configuration group.